Debian hat die meisten Sicherheitslücken

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
DEBIANUNDANDREAS
Beiträge: 1304
Registriert: 01.06.2013 10:37:46

Debian hat die meisten Sicherheitslücken

Beitrag von DEBIANUNDANDREAS » 11.01.2019 21:53:46

Debian hat die meisten Sicherheitslücken
https://www.chip.de/news/Es-ist-nicht-W ... 07232.html
Jetzt ist eure Expertenmeinung gefragt. Kann man das so hinnehmen?

DeletedUserReAsG

Re: Debian hat die meisten Sicherheitslücken

Beitrag von DeletedUserReAsG » 11.01.2019 22:00:35

Gab’s so ’nen Thread nicht schonmal? Ich bin mir ziemlich sicher ….

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: Debian hat die meisten Sicherheitslücken

Beitrag von debianuser4782 » 11.01.2019 22:19:27

Du hast den Artikel falsch zitiert:

Es heist nicht Debian "hat" die meisten Sicherheitslücken, sondern in Debian wurden die meisten Sicherheitslücken "entdeckt".

Das ist ein großer Unterschied und spricht sehr für Debian.

Ob und wieviel Sicherheitlücken zB Windows hat, kann nicht ermittelt werden, weil Microsoft eine closed-source-Politik betreibt (Security through obscurity), es sich bei Suchen, Finden und Veröffentlichen von Sicherheitslücken hier um einen von der Öffentlichkeit abgeschotteten Prozess handelt.

Ganz anders ist diese Politik bei Debian. Hier ist das ethische Hacken von Debian ein (fach-)öffentlicher Prozess, bei dem jeder mitmachen kann (wer kann). Daher wird auch mehr gefunden und veröffentlicht, zumal Debian einen guten Ruf und eine Ideologie zu verteidigen hat. Da macht jeder der kann und möchte gerne mit.

Aber auch die Industrie, die Linux für ihre Projekte mit allen Kräften einsetzt und somit auch mal tiefergehend umprogrammiert bzw optimiert, stolpert hierdurch über die eine oder andere Sicherheitslücke.

Ich glaube der Autor des Artikels auf Chip will nur die Diskussion fördern und ist neugierig auf das Feedback. Er weiß ganz genau, dass er mit seinem Text polarisiert.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Debian hat die meisten Sicherheitslücken

Beitrag von schwedenmann » 11.01.2019 22:54:00

Hallo

qdebain4782
Das ist ein großer Unterschied und spricht sehr für Debian.
Quatsch, Bug bleibt Bug, das kannst du nicht runterrechnen, nur weil es Debian (Linux) betrifft
Ob und wieviel Sicherheitlücken zB Windows hat, kann nicht ermittelt werden
Doch, es gibt eben die gemeldeten bugs, ob dir das gefällt oder nicht, das hat absolut nichts mit opensource vs. closed-source zu tun, da werden einfach die gemeldeten (gefundenen) bugs in Kategorien eingeteilt und zusammengezäht und fertig.
anz anders ist diese Politik bei Debian. Hier ist das ethische Hacken von Debian ein (fach-)öffentlicher Prozess, bei dem jeder mitmachen kann.
klar, sieht man am symtemd-bug von 2015 !!!, oder den ssh bug war der jetzt 10 oder 20 Jahre unentdeckt geblieben, obwohl den ja jeder hätte einsehen können (den Quellcode), wenn man sich die Mühe gemacht hätte den Quellcode zu lesen, was auch der debian-Mantainer nicht gemacht hat, sonst hätte er ja den bug bemerkt :!:


mfg
schwedenmann

argx3
Beiträge: 92
Registriert: 20.08.2012 03:12:25

Re: Debian hat die meisten Sicherheitslücken

Beitrag von argx3 » 11.01.2019 23:05:27

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
11.01.2019 22:54:00
was auch der debian-Mantainer nicht gemacht hat, sonst hätte er ja den bug bemerkt :!:
Paket-Maintainer sind Paketbauer, keine Auditoren. Wäre auch absolut sinnfrei, wenn die Paketersteller jeder Distribution den Quelltext der Upstream-Projekte prüfen sollten, sowas muss wenn bei Upstream gemacht werden. Da gibt es ja auch nicht umsonst eigene Bugtracker für.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Debian hat die meisten Sicherheitslücken

Beitrag von tobo » 12.01.2019 01:13:07

Ich bin mir eigentlich auch sicher, dass es genau diese Diskussion schon gab - aber ich finde sie nicht!?
schwedenmann hat geschrieben: ↑ zum Beitrag ↑
11.01.2019 22:54:00
Das ist ein großer Unterschied und spricht sehr für Debian.
Quatsch, Bug bleibt Bug, das kannst du nicht runterrechnen, nur weil es Debian (Linux) betrifft
Selbstverständlich kann man das runterrechnen! Und wenn man nicht Äpfel mit Birnen vergleichen will, dann sollte man das auch tun!? Die gefixten/gelisteten kritischen Sicherheitslücken von Windows 10 sind die, die zur W10-Release ausgeliefert werden. Bei Debian werden Fehler von oldstable, stable, testing und unstable (sid) hinzugezählt. Also auch Testversionen, die nur deswegen veröffentlicht werden, um darin Fehler zu finden. Allein das ist schon eine völlig andere Größenordnung des Testsubjekts!? Und dann kommt ja noch der größte Blödsinn: das reinrechnen der Bugs von Anwender-Software wie Firefox, Thunderbird, Chrome etc. in die Debian-Statistik, weil Debian das paketiert hat. Und damit ist eben Bug nicht gleich Bug.
Ob und wieviel Sicherheitlücken zB Windows hat, kann nicht ermittelt werden
Doch, es gibt eben die gemeldeten bugs, ob dir das gefällt oder nicht, das hat absolut nichts mit opensource vs. closed-source zu tun, da werden einfach die gemeldeten (gefundenen) bugs in Kategorien eingeteilt und zusammengezäht und fertig.
Dann verlinke mal eine Liste der "offenen und kritischen" Sicherheitslücken von Windeos 10. Die von Debian kannst du im Bugtracker nachschauen. Da gab's nämlich schon mal solch einen tollen CHIP-Vergleich. Da ging es sinngemäß darum, welches System aktuell sicherer ist - Windows oder Linux. Und die Antwort der CHIP war Windows, weil Windows keine offenen Sicherheitslücken hatte und der Linux-Kernel hatte k.A. irgendeine Zahl. So kann man sich die Welt auch schön rechnen!? Das ist nichts anderes als die Ausscheidung vom nördlichen Ende eines nach Süden ziehenden Kängurus.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian hat die meisten Sicherheitslücken

Beitrag von thoerb » 12.01.2019 01:47:54

tobo hat geschrieben: ↑ zum Beitrag ↑
12.01.2019 01:13:07
Und dann kommt ja noch der größte Blödsinn: das reinrechnen der Bugs von Anwender-Software wie Firefox, Thunderbird, Chrome etc. in die Debian-Statistik, weil Debian das paketiert hat. Und damit ist eben Bug nicht gleich Bug.
Genau das war auch mein erster Gedanke, Windows ist ein Betriebssystem und Debian eine Linux-Distribution mit über 51000 Programmpaketen. Das kann man gar nicht miteinander vergleichen. Selbst wenn man nur das Betriebssystem vergleichen würde (wenn das überhaupt möglich ist), stehen z.B. für ein Debian-Desktop-System mindestens 5 grafische Oberflächen zur Verfügung und auch die ganzen Fenstermanager während es für Windows nur den einen Desktop gibt.

willy4711

Re: Debian hat die meisten Sicherheitslücken

Beitrag von willy4711 » 12.01.2019 10:00:30

Darf ich mal die Gemüter beruhigen: Am Ende des Chip - Artikels ist folgendes vermerkt, wobei es bezeichnend ist,
dass dies erst nach dem Artikel ziemlich unscheinbar erwähnt wird.
Damit hat Chip mal wieder die "objektive" Berichterstattung erledigt. :facepalm:

Nicht falsch verstehen

Sicherheitslücken stecken in allen Systemen, doch nur weil Debian Linux in der Statistik mit den gefundenen Sicherheitslücken in 2018 ganz oben steht, bedeutet das noch lange nicht, dass Windows viel sicherer ist. Viel wichtiger als die bloße Anzahl an Lücken ist ohnehin, wie schnell es Patches dafür gibt, wie schnell diese verteilt werden und wie gut sie funktionieren. Speziell in dieser Disziplin hat sich Windows 10 im Jahr 2018 nicht mit Ruhm bekleckert.
thoerb hat geschrieben: ↑ zum Beitrag ↑
12.01.2019 01:47:54
Genau das war auch mein erster Gedanke, Windows ist ein Betriebssystem und Debian eine Linux-Distribution mit über 51000 Programmpaketen. Das kann man gar nicht miteinander vergleichen. Selbst wenn man nur das Betriebssystem vergleichen würde (wenn das überhaupt möglich ist), stehen z.B. für ein Debian-Desktop-System mindestens 5 grafische Oberflächen zur Verfügung und auch die ganzen Fenstermanager während es für Windows nur den einen Desktop gibt.
Finde ich auch.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Debian hat die meisten Sicherheitslücken

Beitrag von novalix » 12.01.2019 15:59:42

niemand hat geschrieben: ↑ zum Beitrag ↑
11.01.2019 22:00:35
Gab’s so ’nen Thread nicht schonmal? Ich bin mir ziemlich sicher ….
Treffer.

Zur allgemeinen Information: Der ssh-Bug blieb selbstverständlich *nicht* 10 bis 20 Jahre unendeckt. Es gab shellshock. Das war eine gut abgehangene Lücke.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
detix
Beiträge: 1699
Registriert: 07.02.2007 18:51:28
Wohnort: MK

Re: Debian hat die meisten Sicherheitslücken

Beitrag von detix » 12.01.2019 20:47:22

novalix hat geschrieben:Treffer.
Könnte oder müßte man jetzt feststellen, das ein schwedenmann hier versucht unser heißgeliebtes debian zu unterwandern, oder sind seine Aussagen der Versuch uns reumütig zu windows zurück zu bekehren... 8O
Gruß an alle Debianer, und immer daran denken:
Macht ohne Haftung funktioniert nicht!

DeletedUserReAsG

Re: Debian hat die meisten Sicherheitslücken

Beitrag von DeletedUserReAsG » 12.01.2019 21:06:14

Gab aber noch ’nen anderen Thread, afair. Und wenn ich mich nicht falsch erinnere, wurde der sogar auch von diesem Capslock-Troll gestartet.

argx3
Beiträge: 92
Registriert: 20.08.2012 03:12:25

Re: Debian hat die meisten Sicherheitslücken

Beitrag von argx3 » 13.01.2019 02:18:36

Der brauch halt Beschäftigung, nachdem er binnen einer Woche wieder mit 2 Accounts bei ubuntuusers.de rausgeschmissen wurde.

Kommt er halt wieder hier her...

guennid

Re: Debian hat die meisten Sicherheitslücken

Beitrag von guennid » 13.01.2019 07:46:51

Ich verstehe wenig Englisch.
:mrgreen: :THX:

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Debian hat die meisten Sicherheitslücken

Beitrag von pferdefreund » 14.01.2019 08:55:20

Mann Leute, ist doch klar, das Windows bei Chip sicherer ist. Wer bezahlt denn Werbeseiten dort ? Debian oder Microsoft ?
Des Brot ich ess, dess Lied ich sing, sagte schon meine Oma. Das ist halt das wahre Leben. Die sagte auch immer schon wat naut kost, dacht naut - und deshalb ist ja auch überall Windows im Einsatz. Kostet was und daher taugt es auch was.
(Ich selber bin privat seit 1999 Windows-frei).

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Debian hat die meisten Sicherheitslücken

Beitrag von uname » 14.01.2019 09:12:36

Wie sichert Chip überhaupt die Integrität der dort für Windows downloadbaren Dateien? Auf welchen externen Server finde ich die zugehörigen Prüfsummen? Was ist mit Keyrings usw.? Als Windows-Anwender sollte man besser wohl über Chip keine Software beziehen. Dann lieber über den Windows-Store. Microsoft möchte doch auch endlich Geld mit Content verdienen.

Folgendes kann bei Chip gar nicht eintreten, da diese Sicherheitsfunktionen dort erst gar nicht existieren oder mir mindestens nicht bekannt sind.
https://blog.linuxmint.com/?p=2994

Wie sichert Chip die Korrektheit der Windows-Programme? Wo sind die Prüfsummen? Gegen was prüft ihr die dort gedownloadeten Dateien falls ihr Windows verwendet?

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Debian hat die meisten Sicherheitslücken

Beitrag von am2 » 14.01.2019 12:41:06

Windoof ist bei Tschipp so sicher wie der VW Golf es in der ADAC-Zeitung einmal war. Es geht wirklich nicht darum, wie viele Lücken entdeckt wurden, sondern vielmehr darum wie viele noch nicht entdeckt wurden. Gefundener Fehler ist oft die halbe Lösung. Fefe prangert schon seit einiger Zeit systemd an (Benutzt hier jemand systmed?). Gestern habe ich dafür ein Sicherheitsupdate auf meinem Stretch installiert. Ob das die Lösung war, kann ich nicht sagen, aber es tut sich etwas.

Fehlerfreie Software wird es kaum geben. Selbst wenn der Quellcode tausenden von Reviews standhält weiß man nicht so genau, was der jeweilige Compiler damit macht. Ein Review des Assembler-Codes wäre da schon aufschlussreicher aber wer tut sich das an und wie lange dauert das? So wahnsinnig viele Assembler-Versteher, die den Code wie einen einfachen Text lesen wird es auch nicht mehr geben.

Lücken wird es immer geben. Deswegen geht es m. E. mehr darum, wie dazu Stellung genommen und wie darauf reagiert wird. Den Linux-Leuten schaue ich zwar nicht über die Schulter aber ich finde es in Ordnung, wie die Linux-Community mit Fehlern umgeht. Über Winzig-Weich und seine Lückenpolitik wollen wir hier lieber nicht diskutieren :lol:

albundy
Beiträge: 83
Registriert: 26.08.2009 19:49:12

Re: Debian hat die meisten Sicherheitslücken

Beitrag von albundy » 14.01.2019 13:13:49

Ich lese so etwas meist gar nicht oder wenn dann messe ich dem Null Bedeutung bei. Diese „Grabenkämpfe“ wird es immer geben.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Debian hat die meisten Sicherheitslücken

Beitrag von uname » 14.01.2019 13:25:24

Genau. Und Fefe lese ich auch nicht.

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Debian hat die meisten Sicherheitslücken

Beitrag von am2 » 14.01.2019 14:59:17

Es ging mir nicht vordergründig um Fefe und schon gar nicht um eine Lese-Empfehlung. War einfach nur ein Beispiel. Ob Fefe ein Grabenkämpfer mit oder ohne Grabendolch ist, soll hier wirklich egal sein.

Fehler werden nun mal begangen und mir ging es doch um den Umgang damit. Von wem wurden die vielen Lücken in Debian entdeckt? Von Winzig-Weich? Oder gab die oberste IT-Sicherheitsbehörde einen Audit in Auftrag? Oder waren es die Bajuwaren, die nun endgültig zeigen konnten, wie schlecht Linux ist? Auf wessen Empfehlung gibt es für Linux Sicherheitsupdates?

In einer so fehleranfälligen Geschichte wie Softwareentwicklung ist das Entdecken und Beheben von Fehlern eine der wichtigsten Disziplinen und ebenso wichtig ist ein offener Umgang damit. Das gelingt der Linux-Community ganz gut, finde ich.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Debian hat die meisten Sicherheitslücken

Beitrag von weshalb » 14.01.2019 19:40:49

Ich habe gerade nochmals den alten Thread gelesen und festgestellt, dass sich meine Meinung dazu nicht geändert hat.

Sicherheitslücken sind oft so speziell, dass diese nur bedingt angewendet werden können. Meistens über Jahre unentdeckt.

Ein Betriebssystem, welches erschaffen wurde, um meine Daten zu stehlen, stellt für mich eine weit größere Gefahr dar. Schaue ich mir dann noch an, wer so alles an Prism beteiligt ist, frage ich mich, welche Sau hier durch's Dorf getrieben werden soll.

ReturnToSender
Beiträge: 123
Registriert: 23.10.2018 18:06:09

Re: Debian hat die meisten Sicherheitslücken

Beitrag von ReturnToSender » 14.01.2019 20:05:32

Mich beschäftigt dabei noch eine andere Frage, und zwar bezüglich der Vergleichbarkeit. Wenn Debian mit wirklich allen im Repository vorhandenen Paketen herangezogen wird, müsste man nicht dann auch Microsoft als ganzes danebenstellen:
https://www.cvedetails.com/product/36/D ... ndor_id=23 : Debian Total = 2221
https://www.cvedetails.com/vendor/26/Microsoft.html : Microsoft Total = 6077

Die Unverhältnismäßigkeit dabei, für Microsoft einfach nur willkürlich eine kleine Teilmenge zugrunde zu legen, muss doch solchen Redakteuren eigentlich bewusst sein.

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: Debian hat die meisten Sicherheitslücken

Beitrag von debianuser4782 » 14.01.2019 21:51:11

am2 hat geschrieben: ↑ zum Beitrag ↑
14.01.2019 12:41:06
Windoof ist bei Tschipp so sicher wie der VW Golf es in der ADAC-Zeitung einmal war. Es geht wirklich nicht darum, wie viele Lücken entdeckt wurden, sondern vielmehr darum wie viele noch nicht entdeckt wurden. Gefundener Fehler ist oft die halbe Lösung. Fefe prangert schon seit einiger Zeit systemd an (Benutzt hier jemand systmed?). Gestern habe ich dafür ein Sicherheitsupdate auf meinem Stretch installiert. Ob das die Lösung war, kann ich nicht sagen, aber es tut sich etwas.

Fehlerfreie Software wird es kaum geben. Selbst wenn der Quellcode tausenden von Reviews standhält weiß man nicht so genau, was der jeweilige Compiler damit macht. Ein Review des Assembler-Codes wäre da schon aufschlussreicher aber wer tut sich das an und wie lange dauert das? So wahnsinnig viele Assembler-Versteher, die den Code wie einen einfachen Text lesen wird es auch nicht mehr geben.

Lücken wird es immer geben. Deswegen geht es m. E. mehr darum, wie dazu Stellung genommen und wie darauf reagiert wird. Den Linux-Leuten schaue ich zwar nicht über die Schulter aber ich finde es in Ordnung, wie die Linux-Community mit Fehlern umgeht. Über Winzig-Weich und seine Lückenpolitik wollen wir hier lieber nicht diskutieren :lol:
Die Anzahl noch nicht entdeckter Sicherheitslücken zB im Linuxkernel ist eine unbekannte Größe und lässt sich wohl nur prognostizieren.

Die Wahrscheinlichkeit des Auffindens dieser Lücken ergibt sich wohl nicht zuletzt aus der Summe der sich mit Linux effektiv beschäftigenden Fachleute (freiwillig, wissenschaftlich, angestellt bzw kollektiv oder einzeln) weltweit.

Ein anderer Faktor wäre die Übersichtlichkeit des zu untersuchenden Codes.
In diesem Zusammenhang wurde "Wireguard" von Linus Torvalds wegen seiner Übersichtlichkeit gelobt. https://linuxnews.de/2018/08/linus-torv ... wireguard/

Interessant wäre auch die Verteilung der aufgefundnen Sicherheitslücken innerhalb des modularen Linuxkernels.

Ebenso die Sicherheitslückenverteilung bei denjenigen Kernelmodulen, welche eine unmittelbare Schnittstelle zum Internet bilden, auch im Vergleich zu den anderen Modulen.

So könnte man das Augenmerk auf diejenigen Module richten, wo der Code besonders komplex und unübersichtlich ist, wo aber im Vergleich zu den anderen Modulen relativ weniger Lücken entdeckt wurden.
Solche Bereiche wären dann - vorausgesetzt eine unmittelbare Schnittstelle zum Internet bildend - besonders sicherheitsrelevant.

Gibt es diesbezüglich schon Visualisierungen?
Zuletzt geändert von debianuser4782 am 14.01.2019 23:42:06, insgesamt 1-mal geändert.

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Debian hat die meisten Sicherheitslücken

Beitrag von am2 » 14.01.2019 23:30:56

weshalb hat geschrieben: ↑ zum Beitrag ↑
14.01.2019 19:40:49
(...) Sicherheitslücken sind oft so speziell (...)
Ich nutze den Signal-Messanger. Da gab es vor einiger Zeit eine Lücke, die spanische(?) Programmierer entdeckt haben. Es ging um das Einschleusen und Ausführen von üblem Code wenn das und das eintrifft, was wiederum eintreffen kann, wenn der Beschmutzer... blah, bläh... OK. Ich habe alles aufmerksam gelesen, mir die Code-Passagen angeschaut und bin genau so "schlau" wie vorher. Zwei Tage später kam ein Update mit der Bekundung der Fehlerbehebung.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian hat die meisten Sicherheitslücken

Beitrag von reox » 15.01.2019 10:23:52

Ich verstehe diese Seite nicht. CVEs werden nicht bei den Produkten gezählt sondern auch bei Distributionen? Ja schon klar aber man muss halt unterschieden ob ein CVE für das Produkt gilt oder in einer speziellen Ausprägung für die Distribution. Müsste man mal schauen ob die das auch richtig machen.
zB mal willkürlich eine: https://www.cvedetails.com/cve/CVE-2018-1000637/ wird gelistet für Debian und Zutils.
diese hier: https://www.cvedetails.com/cve/CVE-2018-16509/ listet Debian, Ubuntu, Redhat und Ghostscript.
oder hier: https://www.cvedetails.com/cve/CVE-2018-15126/ diesmal nur Debian und nichtmal libvnc?

Jetzt ist die Frage: Woher kommt die hohe Anzahl an CVEs in Debian? Hat Debian einfach mehr Pakete als Ubuntu und Redhat? Oder werden CVEs von Ubuntu und Redhat nicht immer anerkannt? Oder kompiliert Debian mit den falschen Flags (wie zB bei dem systemd exploit letztens)?

Beim letzten CVE den ich da gepostet habe, steht auf der Seite von Kaspersky (die das scheinbbar gemeldet haben) nichts das es nur Debian betrifft. Aber warum taucht nur Debian auf? Zumindest sollte doch libVNC als Vendor dabei stehen? Wird libVNC (in dieser Version) auf keiner anderen distro verteilt?
Hier ein gegenbeispiel: https://www.cvedetails.com/cve/CVE-2016-9901/ für eines was scheinbar nur Redhat betrifft... (jedenfalls sagt der debian tracker es ist nicht vulnerable)

Für mich schauts eher danach aus, als ob Debian ein vorbildliches CVE Tracking betreibt und sich quasi die CVEs der Pakete als eigene aufhalst.
So gesehen muss man konsequent aber jedes OS zählen wo die Software in der version installiert werden könnte.

DeletedUserReAsG

Re: Debian hat die meisten Sicherheitslücken

Beitrag von DeletedUserReAsG » 15.01.2019 13:56:23

… wenn man’s wirklich vergleichen wollte, müsste man gucken, welche Pakete in einer Installation mit etwa der Funktionalität eines nackten Windows vorhanden sind, die CVEs genau dieser Pakete zusammenzählen, und mit Windows vergleichen. Und dann sagt’s immer noch nix drüber aus, wie sicher/unsicher das jeweilige System ist, sondern nur etwas darüber, wieviele Probleme gefunden, veröffentlicht und idealerweise behoben wurden – daraus kann man dann ableiten, was einem genehm ist. Zum Beispiel „System A ist unsicherer, da wurden mehr Probleme gefunden“, oder halt „System A ist sicherer, da wurden mehr Probleme gefunden“. Insofern ist eine Diskussion über derlei Dinge recht wenig zielführend, aber der Capslock-Troll hat’s diesmal immerhin besser gemacht, als sonst …

Antworten